<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>5.安全</title>
</head>
<body>

  <!-- 常见的web前端攻击方式 -->
  1.XSS 跨站请求攻击
  2.XSRF跨站请求伪造

  <!-- XSS攻击 -->
  一个博客网站，我发表了一篇博客，其中嵌入了 script脚本
  脚本内容：获取cookie，发送到我的服务器（服务器配合跨域）
  发布这篇博客，有人查看他，我轻松收割访问者的cookie

  XSS预防：替换< 变为 &lt; > 变成&gt; 
          这样就把script标签变成字符串，不会作为脚本执行
          前端要替换，后端也要替换，都做总不会有错

<!-- XSRF攻击 -->
你正在购物，看中某个商品，商品id是100
付费接口是xxx.com/pay?id=100,但没有任何验证
我是攻击者，我看中了一个商品，id是200
我发送一个电子邮件，右键标题很吸引人
但是邮件正文隐藏<img src=xxx.com/pay?id=200 />
你一查看邮件，就帮我购买了id是200的商品

XSRF预防：使用post接口；增加验证，例如密码，短信验证码，指纹等


  
</body>
</html>